RGPD în RH : Tratamentul datelor angajaților

Regulamentul General privind Protecția Datelor (RGPD) nu se aplică doar relațiilor comerciale dintre o întreprindere și clienții săi : reglementează și, într-un mod foarte precis, tratamentul datelor personale ale angajaților. Recrutare, gestionarea salariilor, control acces, evaluare performanță, supraveghere video… fiecare etapă a ciclului de viață al contractului de muncă generează date cu caracter personal pe care angajatorul trebuie să le trateze în conformitate strictă cu dreptul european. Cu amenzi putând ajunge la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală, miza este considerabilă. Acest articol detaliază bazele legale aplicabile, obligațiile practice ale serviciilor RH și cele mai bune practici pentru a vă securiza tratamentele — inclusiv în cazul dematerializării documentelor RH.

Fundamentele juridice ale tratamentului datelor RH

Bazele legale admise în dreptul muncii

RGPD enumeră șase baze legale care permit tratamentul datelor personale (articolul 6). În context RH, trei dintre ele sunt mobilizate aproape sistematic :

• Execuția contractului de muncă (art. 6.1.b) : constituie baza principală pentru gestionarea salariilor, urmărirea timpului de lucru, remiterea fișelor de salariu sau gestionarea concediilor.

• Obligația legală (art. 6.1.c) : justifică tratamentele impuse de Codul muncii sau legislația socială, cum ar fi declarația prealabilă angajării (DPAE), declarația socială nominală (DSN) sau ținerea registrului unic al personalului.

• Interesul legitim (art. 6.1.f) : poate fundamenta anumite tratamente de securitate informatică sau prevenire a fraudei interne, cu condiția ca acest interes să nu fie depășit de drepturile fundamentale ale angajaților.

⚠️ Baza consimțământului trebuie utilizată cu extremă prudență în context salarial. CNIL reamintește periodic că dezechilibrul inerent relației angajator-angajat face ca consimțământul să fie rareori „liber" în sensul articolului 7 RGPD. Recuregrea la consimțământ pentru tratamente care ar putea se bazeze pe altă bază legală expune angajatorul la risc de recaracterizare.

Categoriile speciale de date : regim întărit

Anumite date colectate de RH cad sub regimul „datelor sensibile" vizat la articolul 9 RGPD, al cărui tratament este în principiu interzis cu excepții :

• Date de sănătate : absențe pentru boală, inaptitudini pronunțate de medicina muncii, adaptări de post pentru handicap.

• Date sindicale : apartenență la sindicat, mandate reprezentative.

• Date biometrice : control acces prin amprenta digitală sau recunoaștere facială.

• Date privind infracțiunile : verificare cazier, autorizată doar în sectoare reglementate (securitate, copii, etc.).

Pentru aceste categorii, angajatorul trebuie să identifice o excepție explicită (art. 9.2), să realizeze o analiză de impact asupra protecției datelor (AIPD) în majoritatea cazurilor și adesea să consulte CNIL înainte de implementare.

Obligațiile practice ale serviciilor RH

Registrul activităților de tratament

Orice organism care angajează mai mult de 250 de angajați este obligat să mențină un registru al activităților de tratament (art. 30 RGPD). Sub această limită, obligația subsistă atunci când tratamentele nu sunt ocazionale sau afectează date sensibile — ceea ce este aproape întotdeauna cazul în RH. Acest registru trebuie să documenteze :

• Scopul fiecărui tratament (ex. : „gestionarea fișelor de salariu")

• Categoriile de date în cauză

• Destinatarii (terți, subcontractanți, autorități)

• Perioadele de păstrare

• Măsurile de securitate puse în aplicare

CNIL pune la dispoziție un model de registru liber descărcabil. Ținerea sa riguroasă constituie prima linie de apărare în caz de control.

Perioadele de păstrare : punct adesea neglijat

Articolul 5.1.e RGPD impune principiul limitării păstrării : datele nu trebuie păstrate dincolo de durata necesară scopului pentru care au fost colectate. În RH, perioadele legale de referință sunt următoarele :

| Tip de dată | Perioada recomandată de păstrare | |---|---| | Fișă de salariu | 5 ani (prescripție civilă) | | Contract de muncă | 5 ani după ruperea contractului | | Date recrutare (candidat neales) | Maximum 2 ani după ultimul contact | | Dosar disciplinar | Durată variabilă după sancțiune (max. 3 ani pentru avertisment) | | Date supraveghere video | 1 lună în general | | DSN și registru personal | 5 ani după plecarea angajatului |

Aceste durate trebuie înscrise în registru și aplicate prin proceduri de ștergere sau arhivare definitivă.

Informarea angajaților : obligație adesea subestimată

Articolul 13 RGPD impune furnizarea unei notificări de informare complete persoanelor în cauză la momentul colectării datelor lor. În RH, această notificare trebuie remisă ideal :

• Din momentul candidaturii : pentru datele colectate în procesul de recrutare.

• La angajare : integrată în contractul de muncă sau remisă în anexă la semnare.

• În curs de relație contractuală : la fiecare nou tratament pus în aplicare (ex. : implementarea unui instrument de marcare biometric).

Dematerializarea procesului de integrare, în special prin semnătură electronică pentru RH, facilitează trasabilitatea acestei remisii de informare : data citirii și semnării notificării este marcată cu oră într-un mod probant, ceea ce constituie un element de dovadă prețios în caz de litigiu.

Securitatea datelor RH : măsuri tehnice și organizatorice

Criptare, control acces și compartimentare

Articolul 32 RGPD cere punerea în aplicare a măsurilor de securitate adaptate la risc. Pentru datele RH, care sunt prin natură sensibile și țintite în cazul intruziunilor, practicile minime bune includ :

• Criptarea datelor în repaus și în tranzit : fișierele de salariu, contractele și dosarele personale trebuie stocate criptate (AES-256 minim) și transmise prin protocoale securizate (TLS 1.3).

• Gestionarea drepturilor acces pe bază de rol (RBAC) : doar managerii RH autorizați au acces la datele de salariu ; responsabilul de echipă accesează doar datele necesare pentru management.

• Jurnalizarea accesurilor : orice consultare sau modificare a unui dosar angajat trebuie urmărită cu identificatorul utilizatorului, data și ora.

• Pseudonimizare pentru tratamentele analitice (tablouri de bord RH, studii remunerare).

Gestionarea subcontractanților RH

Serviciile RH au apel la mulți subcontractanți : editori SIRH, prestatori de externalizare salariu, platforme de formare, instrumente recrutare online. Fiecare dintre acești terți trebuie să facă obiectul unui contract de subcontractare conform articolului 28 RGPD, precizând în special :

• Natura și scopul tratamentelor subcontractate

• Obligațiile subcontractantului în materie de securitate și confidențialitate

• Interzicerea sub-subcontractării fără autorizație prealabilă

• Modalități de restituire sau distrugere date la sfârșitul contractului

La alegerea unui prestator, se recomandă și verificarea dacă serverele sale sunt localizate în Spațiul Economic European (SEE) sau dacă un mecanism de transfer adecvat (clauze contractuale standard, decizie adecvare) este în vigoare pentru transferuri în afara SEE.

Dematerializarea documentelor RH și conformitate RGPD

Digitalizarea crescândă a proceselor RH — contracte de muncă electronice, fișe de salariu dematerializate, avenimente semnate la distanță — ridică probleme RGPD specifice. Dacă semnătura electronică conform eIDAS aduce garanții incontestabile de integritate și autenticitate, angajatorul trebuie să se asigure că platforma utilizată :

• Nu colectează date superflue în procesul de semnare (principiu minimizare, art. 5.1.c)

• Conservă dovezile semnării (pistă audit) în condiții securizate și pe o durată potrivită

• Permite exercitarea drepturilor semnatarilor (acces, corectare, ștergere în limitele legale)

Pentru a afla mai multe despre conformitate instrumentelor semnare, ghidul complet semnătură electronică Certyneo detaliază criteriile tehnice și juridice de verificat înainte de orice implementare.

Drepturile angajaților și exercitarea efectivă a acestora

Tablou drepturi garantate de RGPD

Angajații beneficiază de toate drepturile prevăzute articolelor 15-22 RGPD. În context RH, drepturile cel mai frecvent exercitate sunt :

• Drept acces (art. 15) : angajatul poate cere copie tuturor datelor sale deținute de angajator, inclusiv schimburi e-mail profesionale în anumite condiții.

• Drept corectare (art. 16) : corectare date inexacte (eroare RIB, diplomă rău completată, etc.).

• Drept ștergere (art. 17) : limitat în RH de obligații conservare legale, dar aplicabil datelor recrutare candidat neales.

• Drept opoziție (art. 21) : poate exercitat împotriva unui tratament fondat pe interes legitim, cum anumite tratamente supraveghere.

• Drept portabilitate (art. 20) : aplicabil datelor furnizate de angajat în contextul execuției contractului.

Termenul răspuns și proceduri interne

Angajatorul dispune de o lună pentru a răspunde oricărei cereri exercitare drepturi, termen extensibil la trei luni în caz complexitate sau volum ridicat cereri (art. 12.3). Pentru a organiza eficient acest tratament, se recomandă :

• Desemnarea unui punct contact unic (DPO sau referent RGPD) pentru primire cereri

• Implementare formular dedicat accesibil angajaților

• Documentare fiecare cerere și răspuns în registru cereri exercitare drepturi

• Formare manageri RH identificare cerere implicită (angajat care cere „dosarul personal" exercită de facto dreptul acces)

Rol DPO în întreprindere

RGPD impune desemnare unui Delegat Protecție Date (DPO) în trei cazuri (art. 37) : autoritate publică, tratament larg scale date sensibile, sau supraveghere sistematică larg scale. Multe întreprinderi cu tratament RH semnificativ intră în obligație. DPO poate intern sau externalizat ; trebuie dispună independență funcțională și asociat tuturor deciziilor impactând protecție date, inclusiv implementare noi instrumente RH digitale. Rol consultativ nu decizional : responsabilitate finală rămâne cea angajatorului, adică responsabil tratament.

Cadrul legal aplicabil tratamentului date RH

RGPD : text fondator

Regulamentul (UE) 2016/679 Parlamentului European și Consiliului din 27 aprilie 2016 (RGPD) constituie baza reglementară tratamentului datelor personale în Europa. Direct aplicabil în toate statele membre din 25 mai 2018, se impune oricărui angajator tratând date angajați rezidând în UE, indiferent de naționalitate întreprindere. Articolele principale aplicabile context RH sunt :

• Art. 5 : principii fundamentale (legalitate, loialitate, transparență, minimizare, exactitate, limitare păstrare, integritate și confidențialitate, responsabilitate)

• Art. 6 : baze legale tratament

• Art. 9 : regim date sensibile

• Art. 12-22 : drepturi persoane în cauză

• Art. 24-32 : obligații responsabil tratament și subcontractant

• Art. 33-34 : notificare încălcări date (72 ore CNIL, și informare persoane dacă risc ridicat)

• Art. 35 : analiză impact (AIPD) obligatorie tratamente risc ridicat

• Art. 83 : sancțiuni administrative (până 20 M€ sau 4% CA global)

Legea Informatică și Libertăți modificată

În dreptul francez, legea n°78-17 din 6 ianuarie 1978 privind informatica, fișierele și libertățile, modificată prin legea n°2018-493 din 20 iunie 2018 și ordonanța n°2018-1125 din 12 decembrie 2018, completează RGPD deschizând margini de manevră naționale („clauze deschidere"). Printre cele mai importante în RH : posibilitate tratat date sindicale în cadrul gestionare instituții reprezentative personal (art. 9 lege), sau reguli specifice tratement date sănătate muncă.

Codul muncii și jurisprudență socială

Codul muncii impune obligații informare și consultare prealabilă Comitet Social Economic (CSE) înainte orice implementare dispozitiv supraveghere sau control angajați (art. L. 2312-38). Absenție consultare expune angajator inopozabilitate dovezile colectate și sancțiuni penale.

Jurisprudență Curții de Casație reamintește periodic instrumente control (geolocationare, badge, software urmărire activitate) trebuie proporționate obiectiv urmărit și nu pot deviate alte scopuri decât cele declarate angajații și CNIL.

Semnătură electronică documente RH : eIDAS și Cod civil

La dematerializare contracte muncă, avenimente sau documente disciplinare, angajatorul trebuie respecta Regulamentul (UE) n°910/2014 eIDAS, care definește trei niveluri semnătură electronică. Pentru documente atât de structurante cât contract CDI sau document rupere convențională, o semnătură electronică avansată (chiar calificată) se recomandă garanteze identitate semnatarului și integritate document. Cod civil articolele 1366-1367 consacrează valoare probant scris electronic și semnătură electronică, sub rezervă identificare fiabil semnatarului și asigurare integritate.

Sancțiuni pronunțate CNIL materie RH

CNIL pronunțat mai multe sancțiuni semnificative materie tratement date RH : 2022, o întreprindere condamnată 400 000 € amendă supraveghere excesivă angajați telelucrare prin software captură ecran. 2023, o companie securitate suportat sancțiune 200 000 € colectare excesivă date biometrice fără bază legală validă. Aceste decizii ilustrează vigilență crescândă regulator pe acest perimetru.

Scenarii utilizare : RGPD RH practică

Scenariul 1 — O ETI industrială 450 angajați pune conformitate proces recrutare

O întreprindere industrială talie intermediară, angajând aproximativ 450 persoane pe trei site-uri, primea anual peste 3 000 candidaturi spontane și răspundea aproximativ 60 anunțuri locuri muncă. CV și scrisori motivație stocate fără limitare durată într-o cutie e-mail partajată între șase responsabili serviciu. Nici o notificare informare nu era remisă candidații utilizare date.

După audit RGPD, următoarele acțiuni implementate pe șase luni :

• Migrare spre ATS (Applicant Tracking System) certificat conform RGPD, cu ștergere automată dosare după 24 luni inactivitate

• Adăugare notificare informare RGPD fiecare formular candidatură online

• Semnătură electronică scrisori angajare și contracte muncă printr-o platformă conform eIDAS, reducând timp revenire contracte semnate din 8 zile mediu la mai puțin 48 ore

• Actualizare registru activități tratement cu 12 noi fișe tratement RH

Rezultat : nici o cerere CNIL primită pe 18 luni următoare ; câștig estimat 1,2 ETP pe gestionare administrativă recrutare datorită dematerializării.

Scenariul 2 — Un grup distribuție 1 200 angajați încadrează politică supraveghere video

Un grup specializat distribuție alimentară implementase sistem supraveghere video acoperind 34 puncte vânzare. Imaginile conservate 45 zile pe anumite site-uri, fără informare afișată angajații. Mai mulți senzori acopereau posturi cărăuș în permanent, generând risc supraveghere disproporționată.

După o plângere angajat CNIL, întreprinderea angajat mise conformitate incluzând :

• Reducere durată păstrare 30 zile maxim pe toate site-urile

• Repoziționare camere excludere supraveghere continuă posturi lucru individuale

• Consultare și acord CSE central înainte orice implementare nouă

• Informare sistematică angajați prin contracte muncă și cartă internă afișată

Rezultat : închidere plângere CNIL fără sancțiune ; îmbunătățire climat social măsurat sondaj satisfacție anuală următoare (+11 puncte articol „încredere angajator").

Scenariul 3 — Un cabinet consultanță RH externalizată asigură transferuri date clienți

Un cabinet specializat externalizare salariu și administrare personal gestiona dosare angajați aproximativ 20 PME clienți, reprezentând circa 1 800 fișe salariu lunare. Fișierele salariu transmise e-mail necriptat, fără contract subcontractare formalizat sens articol 28 RGPD.

Cabinetul angajat refacere completa practici :

• Semnare Data Processing Agreements (DPA) conform articol 28 fiecare client printr-o platformă semnătură electronică avansată permițând trasabilitate

• Implementare portal client securizat (criptare TLS + autentificare dublă factor) depozit și recuperare fișiere salariu

• Găzduire date pe servere localizate Franța, certificate HDS date sănătate muncă

• Redactare politică subcontractare încadrând apel terți (editor software salariu, arhivar)

Rezultat : reducere 100% transmisiuni date RH e-mail necriptat ; obținere două contracte clienți noi fiecare făcut conformitate RGPD criteriu selecție obligatoriu apel oferte.

Concluzie

RGPD în RH nu se reduce o constrângere administrativă suplimentară : este levier încredere între angajator și colaboratori, și factor competitivitate pe piața muncii unde transparență din ce în ce mai valorată. Registru tratamente ținut zi, durate păstrare controlate, informare angajați formalizată, securitate întărită date sensibile și subcontractanți contractualizați : fiecare din aceste piloni contribuie construire politică RH atât legală responsabilă.

Dematerializarea documente RH — contracte, avenimente, fișe salariu, notificări informare — oferă oportunitate unică combina conformitate RGPD și eficiență operațională, condiție apelare instrumente certificate. Certyneo vă însoțește această abordare cu o soluție semnătură electronică conform eIDAS, concepută echipe RH. Descoperiți tarife și lansați versiune gratuită pe Certyneo asigurare documente RH azi.